オドフラン ~いつもどこかに「なるほど」を~

誰かのためになるようなことを、書き込んだり、書き込まなかったり

SSL化する時に、アドレスに影響するプラグインはいったん停止しましょうって話(All In One WP Securityとか)

2018-10-05 09:57:35 | 日記

もう今時、常時SSLしてないサイトは、
なんぼオシャレなサイトだとしても時代遅れ、
と言われるほど「最低限すべき設定」となりました。

※「SEOが~」とか謳っておきながらSSL未対応のHP制作業者は、もはやちょっとした詐欺に近いので、依頼主さんは怒っていいです(笑)

 

いわゆる「https~」と「s」がついているのが特徴の、アレです。
アドレスバーにも「保護された通信」とか「鍵マーク」が表示されたりしています。
通信を暗号化し、外部の傍受を防ぐことができるのです。

SSL設定するには2段階のステップがあります。

---------------------------
①レンタルサーバ(お名前ドットコムとか、さくらインターネットとか)から
 証明書を発行してもらう
②「①」が完了したらサイトでSSL化の設定を行う。

---------------------------

です。

①は、有料・無料とありますが、特にこだわらないのであれば無料で十分です。
何故なら、「安全性は変わらない」からです。
有料の方は、値段に応じて審査が厳しくなるので、取引規模が大きくなったりすると「信頼の証」として有料プランを使う企業もあります。
(例:架空サイトや、実態のない会社は、有料プランの証明書は発行されない、みたいな感じです)

とりあえず、大手2社の無料SSL証明書の発行方法を載せておきますね

-----------------------------
▼お名前ドットコム
https://webdirectors.jp/web/onamae-free-ssl-certificate/

▼さくらインターネット
https://www.sakura.ne.jp/function/freessl.html
https://help.sakura.ad.jp/hc/ja/articles/115000136822--%E7%84%A1%E6%96%99SSL-%E3%82%B5%E3%83%BC%E3%83%90%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AD%E3%83%BC%E3%83%AB%E3%83%91%E3%83%8D%E3%83%AB%E3%81%8B%E3%82%89%E3%81%AE%E5%B0%8E%E5%85%A5%E6%89%8B%E9%A0%86
-----------------------------

 

さて、前置きが長くなりましたが、ここから今日の本題です。
ワードプレスをご利用の場合「Really Simple SSL」プラグインが非常に便利で簡単だ、と
このブログでも紹介しましたし、世間でも専ら評判です。

 

基本的に「有効化」すれば、自動でSSL化してくれるからです。

ちょー素敵♡


ただし、時折エラーメッセージが表示されるケースもあります。
自分の場合こんな感じでしした。


-----------------------------


▼表示されたメッセージ
「Detected possible certificate issues」


▼さらに日本語でも
一部の項目は自動実行できません。移行前に以下をご確認ください。
.css および .js ファイル内からの HTTP 参照: http:// をすべて // に変更してください
Images, stylesheets or scripts from a domain without an SSL certificate: remove them or move to your own server.
It is recommended to take a backup of your site before activating SSL
-----------------------------

「Detected possible certificate issues」は証明書の問題が検出されました、ってことなんですが
自分の場合、冒頭で紹介した①「証明書の発行」はすでにクリアしています。

普通、何かしら一時的な読み込みの不具合なら「Rreload over https」で再読み込みすれば、正常に進みます。

 

が、何故かうまくいかない。。。

 

 

こういう時は、いったんプラグインを疑うのが定石。アドレスに影響を与えているものってなんだろう、って考えて、もしかしてこれか?って思ったのが「All In One WP Security」


原因(多分):「All In One WP Security & Firewall」で、管理画面URLを変更設定していたのです。

*********************
<説明しよう>
ワードプレスのログインURLは、末尾が "wp-admin" または "wp-login.php" で共通です。
よって、だれでも管理画面を把握できちゃうので、不正ログインならびにハッキングの対象となってしまうのだ。
それを防ぐために「All In One WP Security」で管理画面のURLを独自に変更することができるのだ
↓↓
設定方法はこちらに詳しく
https://blog.goo.ne.jp/odohuran/e/042f0b648777b2226e178689741fb5c4
*********************


httpとhttpsは、一文字違うだけだと思われますが
アドレスとしては「全く別物」扱いになります。
なので、どこかでアドレスに影響する設定が行われていると、SSL実行が出来なかったのかと想像。

「All In One WP Security & Firewall」をいったん停止して
実行すると、晴れてSSL完了しました!

httpsになった後、改めて「All In One WP Security」で、
管理画面URLを変更設定すれば、こちらも無事完了。

 

※上記はあくまで自分の環境下での話です。必ずそうなるとも限りませんので、あくまで参考レベルにってことで。

 

こんな写真も無料でダウンロード
商用可能なフリー素材、フリー素材ドットコム
http://free-materials.com/


【超簡単でセキュリティ強化!】ワードプレスのログインURLを変更しよう~ハッキングされてからでは遅いのだ~

2018-10-05 08:40:33 | 日記

ここ最近、あちらこちらでワードプレスの「ハッキング被害」が相次いでいるというアナウンスを見ました。

ワードプレスは世界中で利用されているにもかかわらず、ログインURLは、末尾が "wp-admin" または "wp-login.php" で共通です。
ってことは、世界中の誰もが、あなたのサイトのログイン画面開けちゃうわけです。そりゃ、狙われますわ、って話です。

安易なパスワードなんて今時すぐに見破られちゃいますからね。
パスワードを複雑なものにしておくのはもちろん(ユーザ名と重複するなってもってのほか!)ですが
そもそも、ログイン画面にたどり着けなくしてしまえば、パスワード以前に
「門前払い」できますよ、って話。

簡単にできるので、これを見たあなはた、今すぐにでも実践してください。
使用するプラグインは「All In One WP Security & Firewall」


-----------------------------
1)プラグインのインストール⇒有効化
プラグイン検索で
「All In One WP Security & Firewall」
と入れたら出てきます。インストール⇒有効化(一連の流れ)しましょう

 

2)左ブロック「WP Security」⇒「Brute Force」



3)チェックを入れて、空欄に希望の文字列を入れる(例:kanrigamen)

 「Save Setting」を押したら完了

-----------------------------


たったこれだけ!!

今度は同じ画面(色のついた枠)に、新しいログインアドレスが記載されています。
忘れないようメモしましょう。

 

ちなみに、いったんロつアウトして
従来のwp-adminにアクセスすると「not available」となり、開けません!

 

以上ですよ。

 

こんな写真も無料でダウンロード
商用可能なフリー素材、フリー素材ドットコム
http://free-materials.com/